Directive NIS2 : qui est concerné, obligations, sanctions et
calendrier France
Directive NIS2 : qui est concerné (entités essentielles ou importantes), les 10 mesures de l'article 21, les sanctions et la notification d'incident.
own2pwn··15 min de lecture
Un fournisseur vous envoie un questionnaire de sécurité. Un assureur cyber vous réclame un plan de mise en conformité. Un client grand compte conditionne le renouvellement à un « engagement NIS2 ». En quelques mois, trois signaux venus de trois directions différentes, et la même question qui revient : cette directive, elle nous impose quoi, au juste, et à partir de quand ?
La directive NIS2 (pour sécurité des réseaux et des systèmes d'information, texte européen 2022/2555) élargit massivement le périmètre de la première directive NIS et durcit les obligations de cybersécurité pour des dizaines de milliers d'organisations en Europe. Ce guide en fait le tour : qui est concerné, les dix obligations concrètes de l'article 21, les sanctions, la notification d'incident et le calendrier de transposition. Pas une paraphrase du texte, mais le comment, du point de vue de gens qui testent la sécurité pour de vrai.
NIS2 en une phrase (et ce qui change par rapport à NIS1)
NIS2 est une directive de l'Union européenne qui impose à certaines organisations, jugées importantes pour le fonctionnement de la société et de l'économie, un socle de mesures de cybersécurité et une obligation de notifier les incidents significatifs. Là où NIS1 (2016) ne visait qu'une poignée d'opérateurs, NIS2 étend le périmètre à 18 secteurs et aspire, dès la taille moyenne (50 salariés ou 10 M€ de chiffre d'affaires), les entreprises moyennes, les ETI et les grandes entreprises. Par ricochet de la chaîne d'approvisionnement, elle finit par toucher des milliers de PME qui ne sont pas visées en direct.
Trois ruptures rendent le texte incontournable. D'abord, le périmètre explose : aux opérateurs historiques s'ajoutent la fabrication, l'agroalimentaire, la gestion des déchets, les services numériques, l'espace ou la recherche, et un critère de taille qui rattrape les entreprises moyennes. Ensuite, la responsabilité remonte aux dirigeants : les organes de direction approuvent les mesures, les supervisent, et peuvent voir leur responsabilité engagée, ce qui n'est plus un sujet « IT ». Enfin, les sanctions deviennent dissuasives, jusqu'à 10 M€ ou 2 % du chiffre d'affaires mondial pour les entités essentielles.
Suis-je concerné ? Entité essentielle ou importante
Deux critères se croisent : votre secteur (est-il listé dans les annexes de la directive ?) et votre taille. Le croisement vous range dans l'une de trois cases : entité essentielle, entité importante, ou hors champ direct.
Le piège de lecture : une grande entreprise d'un secteur de l'annexe II reste importante, pas essentielle. C'est l'annexe qui commande, la taille ne fait que départager. Côté seuils, on reprend les définitions européennes (recommandation 2003/361) : une entreprise est grande à partir de 250 salariés, ou d'un chiffre d'affaires supérieur à 50 M€ et d'un bilan supérieur à 43 M€ ; elle est moyenne à partir de 50 salariés, ou de 10 M€ de chiffre d'affaires ou de bilan.
Il reste le cas le plus fréquent, et le plus mal compris : vous vous croyez hors champ parce que vous êtes une PME, mais un donneur d'ordre soumis à NIS2 vous impose ses exigences par contrat, au titre de la sécurité de sa chaîne d'approvisionnement. C'est l'effet ricochet, et il touche des milliers d'entreprises jamais désignées nommément. On détaille les seuils et ce cas de la sous-traitance dans le guide NIS2 pour les PME.
Les 10 obligations de l'article 21 (le comment concret)
Le cœur technique de NIS2 tient dans l'article 21.2 : dix mesures minimales de gestion des risques, à appliquer selon une approche « tous risques » et proportionnée. Les voici, avec ce qu'elles impliquent réellement plutôt que leur libellé juridique.
- (a) Analyse des risques et politique de sécurité. Le socle documentaire, nourri de scénarios réels plutôt que d'un modèle générique.
- (b) Gestion des incidents. Détection, réponse, journalisation. Une procédure qu'on a répétée, pas un PDF qu'on découvre le jour J.
- (c) Continuité d'activité. Sauvegardes testées (une sauvegarde jamais restaurée n'est pas une sauvegarde), gestion de crise, reprise.
- (d) Sécurité de la chaîne d'approvisionnement. Vos prestataires, vos dépendances, votre surface exposée héritée. Le maillon faible est rarement chez vous : il est chez un tiers que vous avez oublié.
- (e) Sécurité de l'acquisition, du développement et de la maintenance, y compris le traitement et la divulgation des vulnérabilités. Vos applications et API. C'est ici que se logent les vulnérabilités qu'un attaquant exploite en premier.
- (f) Évaluation de l'efficacité des mesures. La mesure qu'on oublie : prouver que le reste fonctionne. Tester, mesurer, corriger.
- (g) Hygiène informatique et formation. Correctifs, comptes, sensibilisation. L'ennuyeux qui ferme la porte à l'essentiel des attaques opportunistes.
- (h) Cryptographie et chiffrement. Une politique claire sur le chiffrement des données au repos et en transit.
- (i) Sécurité des ressources humaines, contrôle d'accès et gestion des actifs. Moindre privilège, gestion des départs, cloisonnement, et un inventaire des actifs tenu à jour, le socle de visibilité repris plus bas.
- (j) Authentification multifacteur et communications sécurisées.MFA, communications d'urgence sécurisées. Le minimum vital, désormais exigé.
Deux de ces mesures sont le terrain direct d'un testeur offensif : le (e) (vos applications exposées et leurs failles) et le (f) (prouver que ça tient). C'est tout l'objet de l'audit NIS2 par le test d'intrusion : documenter, preuve à l'appui, que chaque mesure résiste vraiment.
Visibilité d'abord : on ne sécurise pas ce qu'on ne voit pas
Avant les mesures, il y a un préalable que le texte présuppose : connaître son périmètre. Les mesures (a), (d) et (e) sont vides de sens si votre inventaire d'actifs est faux, et il l'est presque toujours. Le sous-domaine de campagne oublié, l'API de préproduction laissée ouverte, le service d'administration exposé par erreur : voilà ce que l'attaquant trouve en premier, et ce que votre tableau Excel ignore.
C'est exactement le rôle de la gestion de la surface d'attaque externe appliquée à NIS2 : rendre visible et suivre dans le temps ce que vous exposez, y compris via vos prestataires (mesure d).
Notification d'incident : 24 h, 72 h, un mois
En cas d'incident significatif, NIS2 impose un rythme de notification à l'autorité compétente (en France, l'ANSSI) en trois temps :
- Alerte précoce sous 24 h : un premier signalement, même minimal, dès que l'incident est constaté.
- Notification sous 72 h : une évaluation initiale (gravité, impact, indicateurs de compromission).
- Rapport final sous un mois après la notification à 72 h : analyse complète, mesures prises, cause racine.
Ce tempo n'est tenable que si la détection et la procédure ont été préparées et répétées avant. Un plan de notification qu'on découvre en pleine crise est un plan qui échoue.
Sanctions : pourquoi le sujet est monté au comité de direction
NIS2 aligne ses sanctions sur une logique proche du RGPD, ce qui explique qu'elle ne reste plus dans le service informatique. Une entité essentielle s'expose jusqu'à 10 M€ ou 2 % de son chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu ; une entité importante jusqu'à 7 M€ ou 1,4 %. Au-delà de l'amende, les organes de direction peuvent être tenus responsables. Pour les entités essentielles, l'autorité peut même, en dernier recours, interdire temporairement à un dirigeant d'exercer ses fonctions si une mise en demeure de se conformer reste sans effet dans le délai fixé (article 32.5).
NIS2, DORA, RGPD : comment ça s'articule
NIS2 ne remplace pas les autres textes, elle s'y ajoute et parfois leur cède la priorité. DORA (secteur financier) prime sur NIS2 pour les entités qu'il couvre, au titre de la lex specialis : une banque suit DORA, pas NIS2, pour sa résilience opérationnelle. Le RGPD, lui, traite la donnée personnelle quand NIS2 traite la sécurité des réseaux et systèmes ; un même incident peut déclencher les deux notifications, à deux autorités différentes et dans deux délais différents.
Calendrier NIS2 (UE et France)
Les jalons européens sont figés ; la jambe française, elle, s'est fait attendre.
En France, la transposition passe par un véhicule législatif dédié, la loi relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité (dite loi Résilience), complétée de textes d'application qui préciseront les seuils, les secteurs et le calendrier d'enregistrement. L'ANSSI met en place la plateforme MonEspaceNIS2 pour l'enregistrement des entités et un simulateur d'assujettissement. Le détail réglementaire évoluant encore, calez toujours votre plan sur le statut à jour plutôt que sur une date supposée.
Statut France : à vérifier avant tout plan
Par où commencer concrètement
La conformité NIS2 se construit par étapes, dans un ordre qui évite de dépenser avant de savoir.
À retenir
- NIS2 élargit le périmètre à 18 secteurs et fait entrer ETI et PME, directement ou par la chaîne d'approvisionnement.
- Deux statuts : entité essentielle (contrôle strict, jusqu'à 10 M€ ou 2 % du CA) et entité importante (contrôle réactif, jusqu'à 7 M€ ou 1,4 %). C'est l'annexe, pas la seule taille, qui départage.
- Dix mesures à l'article 21, dont l'évaluation de leur propre efficacité (f) que presque personne ne traite.
- Notification en 24 h / 72 h / un mois : tenable seulement si c'est préparé en amont.
- La responsabilité remonte aux dirigeants, ce qui fait de NIS2 un sujet de gouvernance, pas d'intendance IT.
- La visibilité est le préalable : on ne sécurise ni ne prouve ce qu'on ne voit pas.
NIS2 récompense ceux qui savent ce qu'ils exposent et peuvent le prouver. La première marche, avant même la paperasse, c'est de cartographier votre surface d'attaque externe pour ne plus découvrir vos actifs oubliés en même temps que l'attaquant. À partir de là, chaque mesure de l'article 21 a un terrain concret sur lequel s'appuyer.
Articles liés
appsec
Audit NIS2 : le pentest comme preuve d'efficacité de vos mesures
Dans un audit NIS2, cocher les mesures de l'article 21 ne prouve rien. Où le pentest s'insère, ce qu'il prouve, et ce qu'il ne remplace pas.
appsec
NIS2 et PME : êtes-vous concerné, et par où commencer ?
Seuils de taille, entités essentielles vs importantes, effet ruissellement via la sous-traitance, calendrier France 2026 : le guide honnête pour savoir si NIS2 concerne votre PME, et les premières étapes concrètes pour s'y mettre.
appsec
EASM et conformité NIS2 : cartographier sa surface d'attaque externe
On ne protège pas ce qu'on ne voit pas. Entre l'EASM (External Attack Surface Management) et l'article 21 NIS2, voici comment cartographier votre surface d'attaque externe, traquer le shadow IT et corréler les CVE avant l'attaquant.